Nhóm Lazarus là gì? Nó có thực sự bao gồm tin tặc Bắc Triều Tiên không?

Triều Tiên đã trở lại tiêu đề với vấn đề an ninh mạng do có mối quan hệ với Nhóm Lazarus khi nước này tiến hành một vụ tấn công mạng thành công khác. Lần này, Lazarus Group khét tiếng – một nhóm hacker được nhà nước Bắc Triều Tiên tài trợ được thành lập vào khoảng năm 2007 đến 2009 – đã đánh cắp 100 triệu đô la tiền điện tử Harmony.

Tin hay không thì tùy, đây không phải là vụ trộm nổi tiếng nhất của nhóm bí ẩn này, vì nó đã dính líu đến các cuộc tấn công vào Sony và virus như WannaCry. Vậy, tại sao Lazarus Group lại thành công như vậy? Chúng ta cùng tìm hiểu bên dưới nhé.

Nhóm Lazarus: Nguy hiểm đến mức nào?

Bảo mật máy tính đang trở thành một trong những lĩnh vực gây tranh cãi nhất trong những năm gần đây. Chúng ta ngày càng có nhiều thiết bị kết nối nhưng lại ít quan tâm đến việc bảo vệ chúng. Và nó không chỉ xảy ra với người dùng mà còn với các công ty. Đó là lý do tại sao các cuộc tấn công ngày càng trở nên thường xuyên hơn và ngày càng mạnh mẽ hơn.

Trong số các tổ chức tấn công các tập đoàn, cái tên Lazarus (đôi khi được gọi là DarkSeoul, Guardians of Peace, và Hidden Cobra) đã trở nên nổi bật trong giới tin tặc.

Nhóm tin tặc bí ẩn này đứng sau một số vụ tấn công máy tính thành công và phá hoại nhất trong những năm gần đây. Trung tâm An ninh mạng Quốc gia của Vương quốc Anh (NCSC), NSA và FBI xếp nhóm này cao trong danh sách các thực thể nguy hiểm đối với an ninh quốc gia. Và điều ít người biết về họ là các thành viên có lẽ sống ở Triều Tiên, quốc gia bị cô lập nhất trên toàn thế giới.

Một số vụ tấn công khét tiếng nhất của nhóm Lazarus là gì?

Cuộc tấn công đầu tiên của nó được gọi là “Ngọn lửa chiến dịch”. Nó được thực hiện vào năm 2007 và sử dụng phần mềm độc hại thế hệ đầu tiên chống lại chính phủ Hàn Quốc. Sau đó là “Chiến dịch Troy”, xảy ra từ năm 2009 đến năm 2012. Hai cuộc tấn công này về cơ bản là phức tạp; nhóm đã đánh sập các trang web của chính phủ Hàn Quốc bằng cách làm tràn ngập các máy chủ của họ với các yêu cầu.

Vào tháng 3 năm 2011, nhóm đã phát động “Ten Days of Rain”, hóa ra là một cuộc tấn công DDoS tinh vi hơn nhằm vào các phương tiện truyền thông, tài chính và cơ sở hạ tầng quan trọng ở Hàn Quốc. Cơ sở hạ tầng quan trọng luôn là mục tiêu ưa thích của tin tặc do tầm quan trọng của nó đối với các hoạt động hàng ngày.

Cuộc tấn công của Sony Pictures

Cuộc tấn công khét tiếng vào Sony Pictures xảy ra vào năm 2014, đưa tập đoàn này lên sân khấu thế giới. Trong một thời gian, cuộc tấn công này được coi là một trong những cuộc tấn công lớn nhất trong lịch sử tội phạm mạng.

Trong cuộc tấn công, Lazarus Group đã đánh cắp thông tin bí mật của công ty, tiết lộ thư từ mật giữa các cấp chỉ đạo, sản xuất và diễn xuất, và thậm chí làm rò rỉ các bộ phim chưa phát hành. Các cuộc tấn công được thực hiện để trả đũa việc phát hành bộ phim “The Interview”, trong đó miêu tả Kim Jong-un một cách ngớ ngẩn.

Các cuộc tấn công vào ngân hàng và tiền điện tử

Năm 2015, Lazarus Group cũng bắt đầu tấn công các ngân hàng trên toàn thế giới, bao gồm cả Ecuador và Việt Nam. Đó là Banco del Austro và Ngân hàng Tiên Phong. Ngoài ra, nó cũng đã thử tấn công các ngân hàng ở Ba Lan, Chile và Mexico. Vào năm 2016, các cuộc tấn công ngân hàng của nhóm ngày càng tinh vi hơn và thậm chí đã đánh cắp được 81 triệu đô la từ Ngân hàng Bangladesh. Năm 2017, nó cũng cố gắng ăn cắp 60 triệu đô la từ một ngân hàng Đài Loan.

Hiện Lazarus Group đang tập trung vào các cuộc tấn công tiền điện tử. Cuộc tấn công nổi bật nhất đã ảnh hưởng đến các chủ sở hữu Bitcoin và Monero ở Hàn Quốc; đây là lý do tại sao nhóm bây giờ chọn đánh cắp tiền điện tử Harmony.

Nhóm Lazarus có bao gồm các tin tặc Bắc Triều Tiên không?

Mặc dù nó chưa bao giờ được chứng minh, cũng như với hầu hết các cuộc tấn công mạng, các chuyên gia rất tin tưởng rằng nhóm này hoạt động dưới sự hỗ trợ tài chính và yêu cầu của chính phủ Triều Tiên. Điều này sẽ giải thích cho các cuộc tấn công của Sony Pictures và sự cố định liên tục tấn công cơ sở hạ tầng và các tổ chức của Hàn Quốc.

Sự thật là chúng tôi biết rất ít về nhóm. Không rõ đây là những người lính mạng của Triều Tiên hay đơn giản chỉ là những tin tặc quốc tế mà Triều Tiên thuê; trong mọi trường hợp, danh tính của các thành viên trong nhóm là ẩn danh, mặc dù có một điều chắc chắn rằng họ làm việc như một nhóm rất hiệu quả.

Thậm chí có giả thuyết cho rằng nhóm này không liên quan gì đến Triều Tiên và đó chỉ đơn giản là một cách để thu hút sự chú ý khỏi nguồn gốc tự nhiên của nó. Trong mọi trường hợp, không có khả năng Mỹ và Anh đã đổ lỗi cho Triều Tiên về các hành động của nhóm trong quá khứ.

Làm thế nào để nhóm Lazarus tấn công?

Các cuộc tấn công của Lazarus Group đã đi từ thô thiển đến tinh vi, từ tấn công và gây sát thương để thu được nhiều lợi ích nhất có thể từ mỗi hành động. Mặc dù nhóm bắt đầu một cách rất nghiệp dư trước Hàn Quốc, nhưng nó đã trở thành một tổ chức rất chuyên nghiệp và nguy hiểm với các mục tiêu tiền tệ cụ thể hơn.

NSA, FBI và thậm chí cả công ty an ninh mạng Kaspersky Labs của Nga đã điều tra các cuộc tấn công tài chính và phương thức hoạt động của nhóm. Các tin tặc thường xâm nhập một hệ thống duy nhất trong một ngân hàng mà từ đó chúng tiến hành xâm nhập vào toàn bộ tổ chức.

Sau lần lây nhiễm ban đầu, nhóm đã dành vài tuần để điều tra các hệ thống mục tiêu, một chiến thuật tiêu chuẩn trong chiến tranh mạng (USCYBERCOM hoạt động tương tự). Một khi nhóm lập bản đồ hoàn hảo về tổ chức mục tiêu và thu thập đủ dữ liệu, nó bắt đầu ăn cắp tiền.

Trong khi các cuộc tấn công ngân hàng của nhóm là khét tiếng nhất, các tin tặc của nó cũng tấn công các sòng bạc, các doanh nghiệp tiền điện tử và các công ty đầu tư. Một số quốc gia mục tiêu yêu thích của nó là Hàn Quốc, Mexico, Costa Rica, Brazil, Uruguay, Chile, Ba Lan, Ấn Độ và Thái Lan.

Do nạn đói, các lệnh trừng phạt và các chính sách kinh tế thất bại, đồng tiền của Triều Tiên đã liên tục giảm giá trong những thập kỷ qua. Trong khi Kim Jong-il (cha của nhà lãnh đạo hiện tại, Kim Jong-un) tập trung vào việc nắm giữ thế giới để đòi tiền chuộc thông qua các cuộc tấn công và đe dọa để có được viện trợ quốc tế và giảm bớt các lệnh trừng phạt, con trai của ông lại thích chỉ đạo lại quân đội và dân cư Triều Tiên để tạo thu nhập từ nước ngoài.

Điều này giúp Triều Tiên thu được ngoại tệ để hỗ trợ cho việc nghiên cứu và phát triển quân sự và vũ khí hủy diệt hàng loạt, đồng thời củng cố tiền tệ và nền kinh tế của nước này. Có nhiều cách mà Kim Jong-un tạo ra thu nhập từ nước ngoài; chẳng hạn, anh ta thuê người Bắc Triều Tiên làm nhân công giá rẻ, gửi bác sĩ và cố vấn quân sự ra nước ngoài để làm giá, bán vũ khí và sử dụng tin tặc để ăn cắp tiền.

Ban đầu, đội quân hacker của Triều Tiên (như nhóm này đôi khi được gọi là) chủ yếu thực hiện các hoạt động gây rối chống lại kẻ thù của nhà nước. Nhưng khi Kim Jong-il qua đời vào năm 2011, Kim Jong-un đã thay đổi chính sách, và giờ đây các tin tặc đã dồn phần lớn nỗ lực vào việc cướp ngân hàng và tạo ra virus ransomware. Đó là lý do tại sao cho đến năm 2011, Lazarus Group vẫn tấn công các cơ sở và cơ sở hạ tầng của chính phủ Hàn Quốc.

Đây có thể chỉ là sự khởi đầu?

Lazarus Group đã chuyển đổi từ một nhóm nghiệp dư thành một nhóm hack được nhà nước tài trợ tốt và có năng lực. Kể từ khi thành lập, các cuộc tấn công của nhóm chỉ ngày càng trở nên tàn khốc và phức tạp, và cho đến nay, không ai có thể bắt bớ chúng. Nếu không có hậu quả và sự bảo vệ của nhà nước Triều Tiên, có vẻ như nhóm này chỉ có tiềm năng phát triển và thậm chí còn trở nên nguy hiểm hơn, nhưng chỉ có thời gian mới trả lời được.